Gerente de sistemas roba $1MDD usando vulnerabilidad en cajeros automáticos

El acusado deberá cumplir con una sentencia de más de 10 años en prisión

Un gerente de software chino fue declarado culpable de robar alrededor de 1 millón de dólares explotando una vulnerabilidad en el sistema de cajeros automáticos de Huaxia Bank.

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el hombre de 43 años trabajaba en el centro de desarrollo de software de la institución bancaria cuando descubrió un vacío en el sistema operativo central del banco que le brindaba un plazo para realizar retiros que no serían registrados en los sistemas.

Qin Qisheng descubrió que, desde 2016, los retiros de efectivo realizados alrededor de la medianoche no eran registrados por el banco; el empleado también se dio cuenta de que la falla había sido explotada de forma sistemática desde su descubrimiento.

Acorde a especialistas en seguridad en redes, Qin elaboró un set de scripts, los inyectó en los sistemas de Huaxia Bank, y pudo explotar la falla de seguridad sin generar sospechas. Todo indica que el plan de Qin Qisheng tuvo éxito; por más de un año, el gerente de software realizó retiros de entre 700 y 3 mil dólares de manera sistemática.

Parte del plan de Qin Qisheng era utilizar una cuenta bancaria ‘de prueba’, utilizada para el análisis de seguridad en el banco, como fuente de los retiros en cajeros automáticos. Las autoridades chinas calculan que el ex empleado habría robado más de 7 millones de yuanes (1 millón de dólares aproximadamente).

Después de más de un año Huaxia Bank descubrió el fraude de su empleado, quien trató de justificarse afirmando que había realizado todo esto como parte de “un plan de pruebas de seguridad internas”. Al ser cuestionado sobre el dinero sustraído, el gerente de software mencionó que los activos se encontraban en su propia cuenta y que serían devueltos al banco al finalizar las pruebas en los sistemas.

Según reportes de medios locales, Huaxia Bank habría decidido aceptar la explicación del empleado, sin embargo, las autoridades chinas no compraron su historia y lo encontraron culpable de robo después de su detención en diciembre de 2018.

Qin ahora deberá cumplir con una condena de 10 años y medio de prisión.

Huaxia Bank solicitó a las autoridades chinas que desestimaran el caso, pues todos los activos sustraídos fueron devueltos poco después de que se conociera el incidente. La policía consideró esta solicitud como ‘ilegítima’, por lo que el implicado no tiene más opción que cumplir con su sentencia.  

Acorde a especialistas en seguridad en redes, los cibercriminales no cuentan sólo con métodos como el uso de skimmers, la explotación de vulnerabilidades y las fallas de diseño para robar cajeros automáticos. Recientemente un grupo de investigadores descubrió una variedad de malware especialmente diseñado para comprometer cajeros automáticos; esta herramienta está disponible en algunos foros de hackers en dark web. El precio promedio de esta clase de software malicioso parte de los 25 mil dólares.